「MS08-067」を悪用したワームが猛威を振るっている

インターネット セキュリティ

 先日,Microsoftはセキュリティパッチ「MS08-067」を緊急リリースした.その後すぐ,「MS08-067」を狙うワームが出現していた.そして,ここ数日では,この「MS08-067」を悪用した様々なワームが確認されており,猛威を振るっているとのこと.また,日本からの感染被害の報告もあるらしい.対策としては,セキュリティパッチを当てたり,TCP445などをブロックすることが挙げられる.しかし,最善策としては当然セキュリティパッチの早急な適用なので,未対策な方は早急に適応する必要がある.修正パッチは「Microsoft UpdateWindows Update)」から適用可能である.

 Windowsの「緊急」脆弱性を突くウイルスが続出、PCを乗っ取られる恐れ - ITPro

 Windowsの脆弱性を悪用するワームが猛威 - ITmedia

 Windowsの脆弱性を突く新たなインターネットワームが拡大 - ZDNet

 マイクロソフト、Windowsを狙う新たなワーム攻撃を警告 - COMPUTERWORLD.jp

マイクロソフトやセキュリティ企業各社は2008年11月25日、同年10月24日に公表されたWindowsの脆弱(ぜいじゃく)性を悪用するウイルス(ワーム)が続出しているとして注意を呼びかけた。セキュリティ更新プログラム(修正パッチ)を適用していないパソコンでは、インターネットに接続するだけで感染し、パソコンを乗っ取られる恐れがある。

---中略---

 マイクロソフトによれば、「MS08-067」のパッチを適用していないユーザーから、ウイルス感染報告が多数寄せられているという。報告されているウイルスの一例は「Win32/IRCbot.BH」と呼ばれるもの。ボットの一種であり、感染すると、攻撃者にパソコンを乗っ取られてしまう。

 米マカフィーが最近確認したウイルスとして挙げているのは「W32/Conficker.worm」。感染すると、特定のWebサイトから別のウイルスをダウンロードして感染させる。加えて、脆弱性のあるパソコンを見つけると、ネットワーク経由でウイルス本体を送り込み感染させる。

 米トレンドマイクロでは、「WORM_DOWNAD.A」や「WORM_NETWORM.C」を例示。いずれもW32/Conficker.wormと同様に、特定サイトから別のウイルスをダウンロードして実行するとともに、ネットワーク経由で自動的に感染を広げようとする。
     Windowsの「緊急」脆弱性を突くウイルスが続出、PCを乗っ取られる恐れ - ITProより引用

Microsoftやセキュリティ各社によると、このワームはMS08-067脆弱性を悪用してネットワーク上のコンピュータに感染し、企業やホームユーザーにも広がっている。感染すると1024〜10000番ポートの間で無作為のポートを開き、このポートを使って外部のサイトにアクセスし、マルウェアをダウンロードしてくる。

 このワームはまた、一度感染したコンピュータへの再感染を避けるため、自分が悪用した脆弱性にパッチを当てる機能も持つという。Microsoftによれば、このワームのほかにもMS08-067脆弱性を悪用したボットが幾つか検出されている。
     Windowsの脆弱性を悪用するワームが猛威 - ITmediaより引用

 「MS08-067」は特別に細工されたRPC要求を適切に処理出来ないという脆弱性である.これによって,特殊な細工をされたパケットを受け取ったとき,任意のコードを実行させられてしまう危険性がある.TCP445を無作為にスキャンして,Windows Serverサービスの稼動を調べ,細工したパケットを送信することで,ワームを感染させる.そして,そのワームは引用した記事にあるように,1024〜10000番ポートの間で無作為のポートを開き,システムにマルウェアをダウンロードさせる.そして,ワームは更に感染PCから他の脆弱なPCをスキャンして,感染を広げていく.

 Microsoftは「Microsoft Malware Protection Center」へのブログ投稿で、このマルウェアは主に企業内で広がっているものの、家庭用PCも数百台攻撃されたと述べている。

 この投稿には「このマルウェアは、ポート番号1024〜10000の範囲にあるポートを無作為に開き、Webサーバのように動作する。そして、MS08-067脆弱性を悪用することでネットワーク上の無作為に選択したコンピュータに伝播していく。いったんリモートコンピュータへの攻撃が成功すると、そのコンピュータは、ワームによって無作為に開かれたポートを用いてHTTP経由でワームのコピーをダウンロードする。ワームがコピーされる際にはしばしば、.JPGが拡張子で使用され、そのコピーは無作為に付けられた名前のdllファイルとしてローカルのシステムフォルダに保存される」と書かれている。
     Windowsの脆弱性を突く新たなインターネットワームが拡大 - ZDNet

 このワームは,無作為に開いた1024〜10000番のTCPポートを使って,HTTP経由でマルウェアをダウンロードする.その際に,「.jpg」という拡張子が使用され,ダウンロード後にdllファイルとしてシステムフォルダに保存される.

---前略---

 また同氏は、「このワームは、ウクライナにあるコンピュータを避けるように広まっているため、製作者はウクライナ人である可能性がある」と指摘している。地元の警察当局による対応を遅らせたり、取り締まりを食い止めたりするために、自分が住んでいる国のシステムを攻撃対象から除外するハッカーは非常に多い。

 「興味深いことに、このワームはメモリAPI脆弱性を修復し、攻撃対象としたマシンがそれ以上ほかの攻撃を受けないようになっている。もちろん、マルウェア製作者が攻撃対象のコンピュータの安全性を気にかけているわけではない。別のマルウェアに、獲物を取られるのを防ぐための策だ」(マダー氏)

 Microsoftは技術レポートの中で、同ワームはマシンのシステム復元ポイントを書き換えるため、Windowsを感染前の状態にロール・バックするが困難もしくは不可能となるとも述べている。

 このワームはウクライナにあるコンピュータには感染しないようになっているらしく,ウクライナ人が製作者である可能性が非常に高い.また,このワームはマシンのシステム復元ポイントを書き換えるため,"システムの復元"を用いて感染前の正常な状態に修復するのが非常に困難であるらしい.

 ワーム感染者は,バックドアを仕込まれたり,情報が漏洩するだけではなく,他のシステムにまで害悪を及ぼすことになりかねない.したがって,パッチ未対応者は早急に対策を講じる必要があるだろう.


[最終更新 2008/11/27 18:30]

関連:
[1] 「MS08-067」について
[2] MS08-067狙うワームが実際に登場か